Vaultek 是一家制造用于存放貴重物品和槍支彈藥的“藍牙連接保險箱”的廠商，然而該公司最近卻遇到了一件很尷尬的事情 —— 它們的產品竟然存在藍牙安全漏洞。其實早在去年的時候，外媒就已經提到過“眾包物聯網設備有著令人擔憂的不安全性”。近日，安全企業 Two Six Labs 就挑了 Vaultek 的一臺聯網保險箱下手，演示了它的安全性到底有多脆弱。

這臺保險箱的具體型號為 Vaultek VT20i，用戶可以通過 PIN 碼或配套的一款 Android app 來解鎖它。

問題在于，該 app 竟然使用了與 PIN 碼相同的配對碼，且允許無限次數的嘗試！

也就是說，在實驗室環境下，我們可以編寫一個程序來暴力破解該保險箱的密碼。

此外，研究人員發現手機和保險箱之間并未采用加密保護的連接（與 Vaultek 的宣傳相悖），意味著信息可以被別有用心的人所截取。

最后，他們發現保險箱并不會驗證來自已配對手機的 PIN 碼。在這種情況下，大家可以用正確、或者不正確的 PIN 碼來解鎖。

BlueSteal Vaultek Unlock Demo

感興趣的網友可以參閱 Two Six Labs 發布的這篇博客文章：

萬幸的是，Vaultek 已經發布了一個固件更新，以限制密碼嘗試的次數、同時在應用與保險箱之間啟用了加密傳輸。

[編譯自：TheVerge]